[发明专利]一种基于NAT的数据路由方法及其装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种基于NAT的数据路由方法及其装置。

背景技术

NAT(Network Address Translation，网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式，将有助于减缓可用IP地址空间的枯竭。

图1示出了一种NAT的典型组网架构，其中私网用户主机使用私网IP地址192.168.1.3，公网服务器使用公网IP地址1.1.1.2。基于该架构，私网用户主机与公网服务器进行信息交互的过程为：私网用户主机向公网服务器发送IP报文，该IP报文通过NAT设备；NAT设备查看报头内容，发现该报文是发往公网的，将其源IP地址字段的私网地址192.168.1.3转换成一个可在Internet上选路的公网地址20.1.1.1，并将该报文发送给公网服务器，同时在NAT设备的网络地址转换表中记录这一映射关系；公网服务器给私网用户主机发送的应答报文(其初始目的IP地址为20.1.1.1)到达NAT设备后，NAT设备再次查看报头内容，然后查找当前网络地址转换表的记录，用私网地址192.168.1.3替换初始的目的IP地址。

NAT机制隐藏了私网的内部网络结构，具有“屏蔽”私网主机的作用，但是在实际应用中，可能需要给公网提供访问私网主机的机会，如给公网提供一台WEB服务器，或是一台FTP(File Transport Protocol，文件传输协议)服务器。为此，NAT设备提供了NAT Server(地址转换服务器)功能，即通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系，实现公网IP地址到私网IP地址的“反向”转换。例如，可以将20.1.1.1：8080配置为私网某WEB服务器的公网地址和端口号供公网客户端访问。

图2示出了一种NAT Server的典型组网架构。公网用户主机(Host)访问私网服务器的数据报文经过NAT设备时，NAT设备根据报文的目的地址查找地址转换表，将访问私网服务器的请求报文的目的IP地址和端口号(20.1.1.1：8080)转换成私网服务器的私有IP地址和端口号(192.168.1.3：8080)。当私网服务器回应该报文时，NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成公网IP地址和端口号。

NAT多出口是一种比较常见的负载分担和链路备份的方式，其中私网通过两个或多个NAT网关连接不同的运营商，最终连接到Internet。图3示出了一种常见的NAT双出口组网架构。其中，私网用户访问公网时究竟经过哪个NAT网关是由私网中配置的路由等信息决定的，一般是在流量负载分担的基础上结合对一些特殊地址指定具体的路径。在图3所示的NAT双出口环境中使用NATServer会遇到来回路径不一致的问题。

如图4所示，位于公网的客户端通过NAT网关A的NAT Server访问私网服务器，私网服务器返回的报文在私网中转发时有可能通过NAT网关B转发到公网，而NAT网关B的NAT Server配置和NAT网关A不同，私网服务器返回的报文可能被丢弃，也可能被转换为另外的源地址后发给公网客户端，最终的结果都是通信不能正常进行。

针对上述问题，目前在出口网关间进行会话信息的备份是比较成熟的解决方案之一。如在图4所示的NAT双出口组网中，在两台出口网关间通过专门的链路将会话信息进行备份，这样，即使来回路径不一致，NAT网关B也能够通过从NAT网关A备份过来的会话信息将私网服务器发给公网客户端的报文正确的进行NAT转换后发出，从而确保业务正常。会话备份的方法，厂商间的实现各不相同，但是基本原理是一致的。会话备份技术能够较好的解决来回路径不一致的问题，但是存在以下缺点：会话备份功能在两台出口网关之间工作良好，但是无法用于出口网关多于两台的环境；支持会话备份的设备往往是中高端防火墙，价格较高，增加用户的成本。